2022年海關遠程報關單證VPN解決管理知識方案

1、海關遠程報關VPN解決方案建議（簡要）Check Point目錄 TOC o 1-3 h z u HYPERLINK l _Toc152395279 1 前言 PAGEREF _Toc152395279 h 3 HYPERLINK l _Toc152395280 2 設計目標和設計原則 PAGEREF _Toc152395280 h 4 HYPERLINK l _Toc152395281 2.1 設計目標 PAGEREF _Toc152395281 h 4 HYPERLINK l _Toc152395282 2.2 設計原則 PAGEREF _Toc152395282 h 5 HYPERLIN

2、K l _Toc152395283 3 客戶需求分析 PAGEREF _Toc152395283 h 7 HYPERLINK l _Toc152395284 3.1 海關遠程報關系統(tǒng)簡介（略） PAGEREF _Toc152395284 h 7 HYPERLINK l _Toc152395285 3.2 目前需求分析 PAGEREF _Toc152395285 h 7 HYPERLINK l _Toc152395286 3.3 采用IPSec VPN的好處 PAGEREF _Toc152395286 h 7 HYPERLINK l _Toc152395287 4 方案設計 PAGEREF _T

3、oc152395287 h 10 HYPERLINK l _Toc152395288 4.1 網(wǎng)絡拓撲 PAGEREF _Toc152395288 h 11 HYPERLINK l _Toc152395289 4.2 方案說明 PAGEREF _Toc152395289 h 11 HYPERLINK l _Toc152395290 4.3 安全管理建議 PAGEREF _Toc152395290 h 13 HYPERLINK l _Toc152395291 5 推薦產(chǎn)品介紹 PAGEREF _Toc152395291 h 14 HYPERLINK l _Toc152395292 5.1 推薦產(chǎn)

4、品 PAGEREF _Toc152395292 h 14 HYPERLINK l _Toc152395293 5.2 Check Point VPN-1 Power介紹 PAGEREF _Toc152395293 h 14 HYPERLINK l _Toc152395294 5.3 Crossbeam X40介紹 PAGEREF _Toc152395294 h 23 HYPERLINK l _Toc152395295 5.4 Check Point SmartCenter Power介紹 PAGEREF _Toc152395295 h 28 HYPERLINK l _Toc152395296

5、5.5 Check Point VPN-1 SecureClient介紹 PAGEREF _Toc152395296 h 36 HYPERLINK l _Toc152395297 6 產(chǎn)品目錄價 PAGEREF _Toc152395297 h 43 HYPERLINK l _Toc152395298 6.1 VPN-1 網(wǎng)關 PAGEREF _Toc152395298 h 43 HYPERLINK l _Toc152395299 6.2 中央管理服務器軟件 PAGEREF _Toc152395299 h 43 HYPERLINK l _Toc152395300 6.3 VPN-1 客戶端軟件

6、PAGEREF _Toc152395300 h 43 HYPERLINK l _Toc152395301 6.4 標準折扣 PAGEREF _Toc152395301 h 441 前言隨著Internet/Intranet技術的飛速發(fā)展和廣泛應用，網(wǎng)絡安全問題愈來愈突出，已成為當前一大熱點。黑客技術的公開和有組織化，以及網(wǎng)絡的開放性使得網(wǎng)絡受到攻擊的威脅越來越大。而人們對這一問題的嚴重性的認識和所具備的應付能力還遠遠不夠。通常人們對內(nèi)部網(wǎng)絡的安全程度不了解，而實際情況是網(wǎng)絡中的隱患到處都是；網(wǎng)絡的環(huán)境在不斷變化，加上管理不當，應用人員水平參差不齊，沒有有效的方式控制網(wǎng)絡的安全狀況，我們理想中的

7、安全與實際的安全程度存在巨大的安全縫隙。隨著業(yè)務的拓展，網(wǎng)絡不斷的擴展和日趨復雜，對外服務不斷增多，因此保障網(wǎng)絡的安全運行是非常重要的。如果網(wǎng)絡在安全方面稍微有點漏洞，就有可能被黑客抓住，搗毀數(shù)據(jù)及網(wǎng)絡，這樣就會影響網(wǎng)絡業(yè)務正常運行，直接帶來無法估量的經(jīng)濟損失。在這種情況下，面對動態(tài)的、復雜的網(wǎng)絡環(huán)境，市場上出現(xiàn)了眾多不同種類的安全產(chǎn)品，可以說良莠不齊，怎樣在眾多產(chǎn)品中選擇一款性價比最高的產(chǎn)品是我們的首要考慮和解決的問題。2 設計目標和設計原則2.1 設計目標系統(tǒng)設計的目標就是要建立一個具有高可靠性、高安全性、可擴展性、先進性和高性能的計算機網(wǎng)絡應用系統(tǒng)，滿足目前以及未來業(yè)務的發(fā)展需求。網(wǎng)絡的

8、可靠性：是指系統(tǒng)的冗錯性，系統(tǒng)在部分組件出現(xiàn)故障時能啟用備用組件，以使系統(tǒng)能繼續(xù)運行，防止出現(xiàn)中斷。網(wǎng)絡的安全性：包括五個基本要素：機密性、完整性、可用性、可控性與可審查性。 機密性：確保信息不暴露給未授權(quán)的實體或進程。 完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。 可用性：得到授權(quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。 可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。 可審查性：對出現(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。網(wǎng)絡的可擴展性：是指網(wǎng)絡隨著應用的增加仍能滿足需求。這要求網(wǎng)絡在設計時要求充分考慮未來的應用發(fā)展趨勢，保證系統(tǒng)在應

9、用不斷增加的情況下仍能可用。網(wǎng)絡的先進性和高性能：是指系統(tǒng)設計是盡量選用成熟先進的技術，以避免剛建好的網(wǎng)絡因不適用先進的網(wǎng)絡技術或不適合與以后運用新的先進技術建立的網(wǎng)絡互連而面臨尷尬的局面。網(wǎng)絡的先進性和高性能也是保證網(wǎng)絡可擴展性的一個重要方面。2.2 設計原則在進行網(wǎng)絡安全設計、規(guī)劃時，應遵循以下原則：需求、風險、代價平衡分析的原則 ：對任一網(wǎng)絡來說，絕對安全難以達到，也不一定必要。對一個網(wǎng)絡要進行實際分析，對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護成本、被保護信息的價值必須平衡。綜合性、整體性原則 ：運用系統(tǒng)工程的觀點、方法，

10、分析網(wǎng)絡的安全問題，并制定具體措施。一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果。一個計算機網(wǎng)絡包括個人、設備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們在網(wǎng)絡安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。 一致性原則 ：這主要是指網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡的安全需求相一致。實際上，在網(wǎng)絡建設之初就考慮網(wǎng)絡安全對策，比等網(wǎng)絡建設好后再考慮，不但容易，而且花費也少得多。易操作性原則 ：安全措施要由人來完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)正常運行。 適應性、

11、靈活性原則 ：安全措施必須能隨著網(wǎng)絡性能及安全需求的變化而變化，要容易適應、容易修改。多重保護原則 ：任何安全保護措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。體系化設計原則通過分析信息網(wǎng)絡的層次關系，提出科學的安全體系和安全框架，確定需要劃分的安全子系統(tǒng)；根據(jù)安全體系框架分析各個安全子系統(tǒng)存在的各種安全風險，從而采取針對性的安全措施，解決可能存在的安全問題。全局性、均衡性、綜合性設計原則在不同安全子系統(tǒng)中，從全局出發(fā)，綜合考慮各種安全風險，采取相應的安全措施，并根據(jù)風險的大小，采取不同強度的安全措施，提供具有

12、最優(yōu)的性能價格比的安全解決方案。3 客戶需求分析3.1 海關遠程報關系統(tǒng)簡介（略）3.2 目前需求分析目前企業(yè)遠程報關采用撥號方式，費用高且缺乏安全保障。故此項目希望采用當前技術最為成熟的IPSec VPN解決方案。3.3 采用IPSec VPN的好處對于企業(yè)用戶來說，VPN提供了安全、可靠的 Internet訪問通道，為企業(yè)進一步發(fā)展提供了可靠的技術保障。而且VPN能提供專用線路類型服務，是方便快捷的企業(yè)私有網(wǎng)絡。由于VPN的出現(xiàn)，用戶可以從以下幾方面獲益： 1)實現(xiàn)網(wǎng)絡通信安全 具有高度的安全性，對于現(xiàn)在的網(wǎng)絡是極其重要的。遠程報關需要絕對的安全，而VPN以多種方式增強了網(wǎng)絡的智能和安全性

13、。首先，它在隧道的起點，在權(quán)威的認證服務器上，提供對分布用戶的身份認證。另外，VPN支持安全和加密協(xié)議，如IPsec，從而保證數(shù)據(jù)傳遞的安全。 2)簡化網(wǎng)絡設計 企業(yè)用戶可以使用VPN替代租用線路來實現(xiàn)分支機構(gòu)的連接。這樣可以將對遠程鏈路進行安裝、配置和管理的任務減少到最小，僅此一點就可以極大地簡化企業(yè)廣域網(wǎng)的設計。另外，VPN遠程用戶通過撥號訪問當?shù)豂SP與企業(yè)總部建立VPN，減少了在企業(yè)總部Modem Pool的配置，簡化了所需的接口，同時簡化了與遠程用戶認證、授權(quán)和記賬相關的設備和處理。 3)降低成本，投資回報VPN可以立即且顯著地降低成本。當使用Internet時，實際上只需付本地電話

14、費，卻收到了長途通信的效果。因此，借助ISP來建立VPN，就可以節(jié)省大量的通信費用。此外，VPN還使企業(yè)不必投入大量的人力和物力去安裝和維護昂貴的WAN設備和遠程訪問設備，這些工作都可以交給ISP。VPN使用戶降低以下的成本： 移動用戶的通信成本。VPN可以通過減少長途費或800費用來節(jié)省移動用戶的花費。 租用線路成本。VPN可以以每條連接的40%到60%的成本對租用線路進行控制和管理。對于租用國際線路的企業(yè)來說，這種節(jié)約是更為顯著。對于話音數(shù)據(jù)，節(jié)約金額會進一步增加。對國內(nèi)的用戶來說，VPN最大的吸引力在哪里？是價格。據(jù)估算，如果企業(yè)放棄租用專線而采用VPN，其整個網(wǎng)絡的成本可節(jié)約21%-4

15、5%，至于那些以電話撥號方式聯(lián)網(wǎng)存取數(shù)據(jù)的公司，采用VPN則可以節(jié)約通訊成本50%-80%。主要設備成本。VPN通過支持撥號訪問資源,使企業(yè)可以減少不斷增長的調(diào)制解調(diào)器費用。另外，用戶可以在單一的WAN接口中實現(xiàn)多種服務，從分支機構(gòu)網(wǎng)絡互聯(lián)、商業(yè)伙伴的外聯(lián)網(wǎng)終端，本地提供高帶寬的線路連接到訪問服務提供者，因此，只需要極少的WAN接口和設備。由于VPN可以實現(xiàn)完全管理，并且能夠從中央進行基于策略的控制，因此可以大幅度地減少在安裝配置遠端網(wǎng)絡接口所需設備上的開銷。另外，由于VPN獨立于初始協(xié)議，這就使得遠程的接入用戶可以繼續(xù)使用原有設備，保護了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。 4)容易擴展 如果

16、企業(yè)想擴大VPN的容量和覆蓋范圍。企業(yè)需做的事情很少，而且能及時實現(xiàn)。不需要為等待搭建專線耗費寶貴的時間。在遠程辦公室增加VPN能力也很簡單：通過遠程訪問方式或通過性能價格比非常好的VPN專用設備即可與總部實現(xiàn)VPN通信。 5)可隨意與合作伙伴實現(xiàn)Extranet在過去，企業(yè)如果想與合作伙伴連網(wǎng)，雙方的信息技術部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。有了VPN之后，這種協(xié)商變得非常簡單：在業(yè)務上授權(quán)對方進行資源共享，通過權(quán)威的認證機構(gòu)實現(xiàn)雙方嚴格的身份認證即可。真正達到了要連就連，要斷就斷。 6)完全控制主動權(quán) 借助VPN，企業(yè)可以利用ISP的設施和服務，同時又完全掌握著自己網(wǎng)絡

17、的控制權(quán)。例如，企業(yè)可以把撥號訪問交給ISP去做，由自己負責用戶的身份查驗、訪問權(quán)限、安全性和網(wǎng)絡變化管理等重要工作。 7)支持更多新興應用 許多專用網(wǎng)對許多新興應用準備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應用。VPN則可以支持各種高級的應用，如IP語音，IP傳真等。4 方案設計根據(jù)用戶需求，我們設計在報關用戶的PC上安裝VPN客戶端，在報關服務器前部署VPN網(wǎng)關，實現(xiàn)遠程訪問IPSec VPN。4.1 網(wǎng)絡拓撲4.2 方案說明（1）在報關服務器群前部署Check Point VPN-1 Power網(wǎng)關。VPN-1 Power 網(wǎng)關不僅具有強大的IPSec site-to-site VP

18、N 和 client-to-site VPN能力，而且內(nèi)置Check Point全球市場占有率第一的防火墻功能，同時還具有入侵防范和安全加速技術，可以滿足連接和保護雙重需求。在IPSec VPN技術中，通常采用預共享密鑰和數(shù)字證書兩種認證方式。預共享密鑰使用方便，但安全性較差。故本方案建議采用數(shù)字證書。在Check Point中央管理服務器中已內(nèi)置CA，可以發(fā)放證書供VPN使用。本方案中由于用戶已有CA系統(tǒng)，故Check Point VPN網(wǎng)關和客戶端均采用已有CA頒發(fā)的證書。Check Point VPN網(wǎng)關可以兼容全球各大主流廠商CA，如Entrust,Verisign,微軟，Netsca

19、pe等等。VPN網(wǎng)關的硬件平臺采用Check Point硬件合作伙伴Crossbeam的電信級平臺X40。X40擁有單機高可用性特點，在一個機框內(nèi)，可以實現(xiàn)電源冗余，風扇冗余，控制模塊冗余，網(wǎng)絡模塊冗余和應用模塊冗余。單臺X40可以支持10萬并發(fā)VPN隧道，如需支持到30萬并發(fā)VPN隧道，3臺可以基本滿足要求。（2）在遠程需要報關的PC上安裝Check Point VPN-1 SecureClient VPN客戶端軟件，并申請數(shù)字證書。在申請報關業(yè)務前，首先需要進行VPN連接。VPN客戶端和網(wǎng)關首先通過數(shù)字證書進行相互認證，如認證成功，則建立VPN隧道；如失敗，則無法建立VPN，也就無法進行報

20、關業(yè)務。VPN-1 SecureClient不僅具有全部IPSec VPN功能，同時還具有中央管理的個人防火墻功能。管理員可以在中央管理服務器上為遠程客戶端配置防火墻策略，遠程客戶端建立VPN連接到網(wǎng)關后，可以自動將屬于他的安全策略下載到本地，從而對客戶端本身進行防護。客戶端的安全性，也可以進一步保證其所連接報關服務器的安全。VPN-1 SecureClient還可以支持在VPN隧道建立后，路由所有流量到VPN網(wǎng)關，從而使VPN客戶端在建立VPN后，僅能與報關服務器通信，進一步避免外部的攻擊。（3）在總部部署中央管理服務器，對VPN網(wǎng)關和VPN客戶端進行集中統(tǒng)一管理。4.3 安全管理建議安全管

21、理也是非常重要的環(huán)節(jié)，包括了對安全設備的管理，對網(wǎng)絡的管理以及對人員的管理等。其中，對安全設備的管理更是重中之重，我們認為應從如下兩方面入手。（1）安全管理中心應該建立統(tǒng)一的安全管理中心，全面負責信息網(wǎng)絡系統(tǒng)的安全管理工作，其主要職責如下：監(jiān)控信息系統(tǒng)運行狀況安全技術的支持各項安全管理制度的落實各種安全事件、緊急事件的響應聯(lián)絡、溝通安全廠商等（2）安全管理制度必須建立完善的安全管理制度，具體包括如下幾方面：信息系統(tǒng)運行管理制度信息系統(tǒng)使用管理制度數(shù)據(jù)管理制度人員管理制度物理安全管理制度安全培訓制度。安全是一個動態(tài)的過程，絕對的安全是不存在的，任何安全體系都應具備更新、完善和擴展的能力。安全體系

22、應具備對任何突發(fā)、破壞性事件的實時反應能力。任何完善的安全體系都是全方面努力的結(jié)果，是技術、管理、服務共同努力的結(jié)果，忽視任何一方都將帶來不可預料的結(jié)果。5 推薦產(chǎn)品介紹5.1 推薦產(chǎn)品VPN網(wǎng)關產(chǎn)品：Check Point VPN-1 Power Crossbeam X40（硬件平臺）中央管理服務器： Check Point SmartCenter PowerVPN遠程客戶端產(chǎn)品：Check Point VPN-1 SecureClient5.2 Check Point VPN-1 Power介紹VPN-1 Power為最苛刻的環(huán)境提供全面安全保護您遇到的挑戰(zhàn)互聯(lián)網(wǎng)可以到達世界的每個角落，因

23、此，它提供了一種靈活、成本效益高的基礎架構(gòu)來擴展公司的網(wǎng)絡以覆蓋所有的雇員和關鍵的商業(yè)合作伙伴。但是，互聯(lián)網(wǎng)也將不斷變化的威脅隱藏到了公司的資源中。黑客不斷玩出新花樣來攻擊企業(yè)應用程序。與此同時，應用程序需求正變得越來越復雜，而且對性能要求也越來越高。為了充分利用互聯(lián)網(wǎng)的優(yōu)勢，企業(yè)必須解決關鍵業(yè)務應用程序在可用性、性能和可擴展性方面所面臨的挑戰(zhàn)，與此同時，企業(yè)還必須確保商業(yè)通信和企業(yè)的內(nèi)部資源的安全。我們的解決方案Check Point公司的VPN-1 Power TM為今天苛刻的環(huán)境提供了綜合、更快的安全保護。該解決方案利用緊密集成的防火墻、VPN和入侵防范技術為公司應用程序和網(wǎng)絡資源提供綜

24、合安全保護和遠程連接支持。它加快了業(yè)內(nèi)最智能化的安全檢測技術，Stateful Inspection（狀態(tài)監(jiān)測）和Application Intelligence TM（應用智能）的運行速度。它還提供主動的攻擊防范措施來幫助抵御網(wǎng)絡層和應用層的各種攻擊，從而確保網(wǎng)絡的高性能。VPN-1 Power解決方案適用于業(yè)內(nèi)最廣泛的開放平臺和安全專用設備可以滿足任何規(guī)模的企業(yè)的性價比需求。全面網(wǎng)絡和應用程序安全保護VPN-1 Power集成了訪問控制、認證和加密功能以確保網(wǎng)絡連接的安全、本地和遠程用戶的真實性以及數(shù)據(jù)通訊的隱私和完整性。除此以外，它還與入侵防范功能緊密集成，提供高級應用程序保護功能。VP

25、N-1 Power還包括了一種可選的Web應用程序防火墻，為Web環(huán)境提供無與倫比的安全保護。FireWall-1集成為了實現(xiàn)有效的企業(yè)邊界、內(nèi)部和Web安全保護和高效管理，VPN必須包括集成的防火墻功能。VPN-1 Power包括了市場上領先的FireWall-1軟件，并通過Check Point公司獲得專利的狀態(tài)監(jiān)測技術來確保所有流行的互聯(lián)網(wǎng)服務的安全。VPN-1 Power內(nèi)置功能支持150多種預定義應用程序、服務和協(xié)議，包括即時消息、多媒體服務、Oracle SQL、P2P應用程序、RealAudio和Web應用程序。VPN-1 Power是針對擴展的企業(yè)、經(jīng)過最充分證明的安全和連接解

26、決方案。確保應用程序的安全VPN-1集成了由一系列高級功能組成的應用智能，可以檢測和阻止應用層攻擊。它將VPN-1發(fā)展成為一種高級安全網(wǎng)關解決方案，集成了網(wǎng)絡層和應用層進行綜合攻擊防范的功能，從而改變了網(wǎng)絡安全的現(xiàn)狀。企業(yè)將從這些高級入侵防范功能中受益，而且不用再擔心管理其它設備的繁瑣。為Web應用程序提供安全保護Web Intelligence TM（Web智能）是一種可選的Web應用程序防火墻，它被緊密集成的VPN-1中，可以提供高級的Web應用程序安全保護。Web智能保護Web應用程序免受常見黑客技術的攻擊，如命令行植入(command injection)、跨站點腳本（cross-si

27、te scripting）、目錄遍歷（directory traversal）、LDAP植入和SQL植入攻擊等。Web智能還包括防止緩沖溢出攻擊的正在申請的專利技術，Malicious Code Protector TM（惡意代碼保護器）。惡意代碼保護器采用獨特的檢測機制來分析惡意代碼的行為，無需簽名支持即可捕獲攻擊并攔截已知和未知的各種攻擊。為VoIP提供安全保護VPN-1 Power為VoIP應用程序提供綜合的安全保護，包括對H.323、MGCP、SCCP（Skinny）和SIP協(xié)議的有狀態(tài)檢測。除此以外，VPN-1還能夠解決復雜的VoIP部署，比如將網(wǎng)守（gatekeeper）隱藏到網(wǎng)絡

28、地址轉(zhuǎn)換（NAT）設備之后。除此以外，ClusterXL、FloodGate-1和SecureXLTM還可以幫助企業(yè)創(chuàng)建高性能、容錯和劃分優(yōu)先級的語音網(wǎng)絡。帶安全保護的連接VPN-1 Power包括針對遠程接入、內(nèi)網(wǎng)和外網(wǎng)VPN的最綜合的產(chǎn)品和技術集。Check Point公司提供廣泛的VPN產(chǎn)品，企業(yè)可以在這些產(chǎn)品中進行選擇來設計最符合它們要求的配置。One-Click VPN通過One-Click VPN，企業(yè)通過一個單一操作就可以創(chuàng)建大型VPN。通過定義VPN團體( community)，企業(yè)可以為整個VPN設置安全參數(shù)，比如只需一步即可實現(xiàn)內(nèi)網(wǎng)、外網(wǎng)或者遠程接入的部署。安全管理員只需要

29、定義一個團體內(nèi)所有的VPN-1端點，VPN就可以在所有網(wǎng)關中或者網(wǎng)關與遠程用戶間自動啟動。當新站點被添加到團體后，它們就自動繼承相應屬性并能立即與該VPN團體的其它站點建立安全的IPSec會話。先進的站點到站點VPN功能無論環(huán)境有多么復雜，VPN-1 Power都可以將公司的資源擴展到遠程站點。VPN-1支持VPN域通過一組靜態(tài)IP地址定義VPN范圍的傳統(tǒng)方法。除此以外，VPN-1支持基于路由的VPN，其中，VPN拓撲代表的是網(wǎng)絡路由決策。這種靈活性為企業(yè)提供了強大的機制來提供復雜和動態(tài)網(wǎng)絡中的連接?；诼酚傻腣PN使管理員能夠利用VPN通道將動態(tài)路由協(xié)議從企業(yè)總部擴展到遠程地點，從而改進大型

30、網(wǎng)絡的網(wǎng)絡和VPN的管理效率?；诼酚傻腣PN還支持定向的VPN，使管理員在沒有靜態(tài)IP地址的情況下，通過VPN通道執(zhí)行安全策略。對于經(jīng)常變化的網(wǎng)絡而言，基于路由的VPN正是一種理想的解決方案。企業(yè)可以經(jīng)常更改網(wǎng)絡拓撲，如添加內(nèi)部網(wǎng)絡，而無需反復配置靜態(tài)VPN域。靈活的認證由Check Point公司提供安全保護的VPN解決方案提供了多種認證方法，包括RADIUS、TACACS/TACACS和令牌卡。除此以外，OpenPKI還確保由Check Point公司提供安全保護的VPN解決方案與市面上銷售的領先PKI解決方案（如巴爾的摩技術、Entrust和Verisign等公司的技術方案）兼容，從而

31、支持企業(yè)管理很大規(guī)模的IPSec VPN部署。VPN-1 Power具有獨特的混合模式認證功能，允許企業(yè)在利用現(xiàn)有認證架構(gòu)（如 SecureID令牌）的同時部署 IPSec VPN。希望實施可直接調(diào)用的強大認證的企業(yè)可以采用Check Point公司的One-Click Certificates解決方案。通過VPN-1 Power中包括的Internal Certificate Authority（內(nèi)部證書授權(quán)）解決方案，X.509數(shù)字證書可以頒發(fā)給VPN-1 網(wǎng)關和VPN-1 SecureClient TM用戶。在不需要復雜和昂貴的PKI系統(tǒng)的情況下，One-Click Certificat

32、es解決方案就能提供符合行業(yè)標準的雙重認證。支持多種遠程訪問技術每個企業(yè)對遠程訪問都有自己獨特的需求，這依賴于用戶類型、要訪問的應用程序組合、端點安全級別和需要的管理控制。VPN-1 Power具有靈活性，可以支持多種客戶端選項。SecuRemoteTM 提供基本連接，方便了偶爾需要遠程訪問 IP 應用程序的用戶。SecureClient通過增加集中管理的個人防火墻，提供了更高級別的安全保護。Check Point公司的IntegrityTM SecureClient通過使用集成的VPN客戶端和充分管理的端點安全來提供全面的遠程訪問保護。SSL Network Extender TM是一個基于

33、Web瀏覽器的控件，它支持從任何互聯(lián)網(wǎng)設備對基于IP應用程序的完全訪問，從而為用戶帶來方便。VPN-1 Power還支持微軟的L2TP和Symbian公司的VPN客戶端。智能管理VPN-1 Power中包括的SmartCenter TM是建立在目前業(yè)界最一致、最強大的管理架構(gòu)，安全管理架構(gòu)（SMART）的基礎上的。SmartCenter支持企業(yè)集中定義邊界、內(nèi)部和Web的安全策略；對安全事件進行關聯(lián)并劃分優(yōu)先級；實施高級的監(jiān)視和報表功能這一切都通過一個控制臺來實現(xiàn)。這種統(tǒng)一的架構(gòu)使在所有網(wǎng)關分配安全策略升級變得很簡單，從而確保策略實施保持一致并提高運營效率。SmartCenter 提供功能強大

34、的安全保護和 VPN 策略管理，降低了管理的成本和復雜性。高性能和可用性當防火墻和VPN部署變得越來越大并且對業(yè)務也越來越關鍵時，其性能就成了主要的關注點。VPN-1 Power可以提供更快的安全保護，在開放服務器上，其速度可超過5Gpbs，從而在不破壞安全的情況下確保信息的可用性。VPN-1 Power還采用了先進的流技術，該技術允許在核心層處理數(shù)據(jù)包，大大加強了應用層的檢測，它通常是計算密集型的任務。將SecureXL框架和流技術與Check Point公司對開放式系統(tǒng)的承諾相結(jié)合，可以以最低的成本提供行業(yè)領先的性能。集成的 VPN 服務質(zhì)量 (QoS)如果VPN部署的性能非常重要，但互聯(lián)

35、網(wǎng)連接可能會產(chǎn)生擁堵，這樣的VPN部署就需要服務質(zhì)量。FloodGate-1確保了關鍵業(yè)務VPN-1通信流量的最佳性能，使客戶能夠?qū)㈥P鍵的業(yè)務通信從私有的廣域網(wǎng)遷移到互聯(lián)網(wǎng)。高可用性和負載均衡ClusterXL將所有類型的通信流量分配到一個VPN-1 Power網(wǎng)關集群中。如果某個網(wǎng)關無法被訪問了，所有的連接可以被無縫重定向到其它的集群成員網(wǎng)關。當更多的集群成員被加入后，集群網(wǎng)關可以獲得近線性的性能。不間斷轉(zhuǎn)發(fā)通過結(jié)合動態(tài)路由協(xié)議，如BGP或者OSPF，ClusterXL為業(yè)界提供了唯一一種可以“平穩(wěn)重啟”的高可用性執(zhí)行點。因此，VPN-1 Power明顯提高了關鍵業(yè)務應用程序的可用性，消除了

36、不必要的“波紋效應”當 VPN-1 Power網(wǎng)關變得不可用，路由表中就會發(fā)生變化，從而產(chǎn)生波紋效應并且可能導致通信轉(zhuǎn)發(fā)中斷長達幾十分鐘，。VPN負載分配VPN負載分配是針對遠程訪問VPN連接的一種高可用性和負載均衡解決方案。輸入VPN連接是跨多個VPN-1網(wǎng)關進行分布，這些網(wǎng)關可以在地理位置上完全分開。如果網(wǎng)關無法訪問，VPN客戶端將會通過另一個網(wǎng)關成員自動獲取連接。多個接入點如果存在多個數(shù)據(jù)中心，遠程用戶可以通過多個接入點功能來確保對數(shù)據(jù)中心的連續(xù)訪問。如果VPN-1主網(wǎng)關變得不可用，位于其它地點的VPN-1網(wǎng)關就會自動建立到該公司的 VPN 連接。5.3 Crossbeam X40介紹C

37、rossbeam X40產(chǎn)品介紹X40是Crossbeam 為實現(xiàn)完整的網(wǎng)絡、郵件和 Web 安全性而開發(fā)的安全交換機。X40 具有 Crossbeam X 系列產(chǎn)品的所有特性和優(yōu)點，包括集成的負載平衡和流排序功能（使用Crossbeam 正在申請專利的 X-Stream 技術）；來自 Check Point等公司的多種最先進安全引擎。該產(chǎn)品在一個14插槽機柜中提供，適合大中型企業(yè)和服務供應商。X40 最多可以提供16個千兆以太網(wǎng)端口或32個快速以太網(wǎng)端口及 8Gbps 的全雙工防火墻吞吐量。該平臺設計用于提供高可用性和卓越的性能，同時運行多個先進的安全引擎來支持防火墻、加速虛擬專用網(wǎng)（VPN

38、）、入侵檢測和防護、防病毒和員工互聯(lián)網(wǎng)內(nèi)容管理（URL 過濾）。X40 為企業(yè)提供了一種更安全、更簡單的解決方案來保護網(wǎng)絡安全性 從而實現(xiàn)獨立產(chǎn)品所不可能實現(xiàn)的運營和投資利用高效率。加固的最佳周邊安全防護措施目前，僅靠周邊防火墻來保護公司的信息安全資產(chǎn)已遠遠不夠。相反，企業(yè)需要一種更先進的分層安全保護方法。但是，構(gòu)建分層安全基礎設施的傳統(tǒng)方法需要多個不同的設備，因此成本非常高而且很煩瑣，因為每種設備都需要自己的維護（補丁、升級）、管理基礎設施和連接。試想一下，通過獨立的安全技術配置正確的數(shù)據(jù)流需要掌握路由、端口鏡像方面的豐富知識。擴展性能意味著需要添加額外的負載平衡器，而這會進一步增加復雜性。

39、總之，每一個單元都會增加復雜性并留下看不見的安全漏洞。 通過在一種易于實施的多技術安全解決方案中集成深層防護技術，X40 可以從根本上改進安全保護的經(jīng)濟性并提高強度。所有安全技術都通過一種先進的機柜式系統(tǒng)和安全操作系統(tǒng)結(jié)合在一起。這種操作系統(tǒng)消除了對外部交換機、負載平衡器、端口鏡像的需要。通過多種安全技術配置流路徑的工作可以從一個能為用戶帶來全面靈活性的圖形用戶界面（GUI）上輕松完成。這種合并是目前業(yè)界最簡單、安全而又經(jīng)濟的安全防護模式。Crossbeam X40 安全業(yè)務交換機是：一種高性能多重安全解決方案 一個靈活的平臺最多可以支持 8 Gbps 的全面狀態(tài)式防火墻處理吞吐量。該平臺可以

40、通過 X-Stream 安全流處理技術支持非常復雜的高性能安全配置。一種多重安全引擎平臺，可以提供很高的安全處理性能，包括防火墻、VPN、入侵檢測、防病毒掃描、URL 過濾、內(nèi)容過濾和反垃圾郵件。Crossbeam 公司X系列產(chǎn)品的成員之一。該系列是目前市場上唯一完整的高可用性（HA）安全解決方案系列 可以提供全面的冗余（無單點故障）、多級故障容錯（即無中斷的運行）和全面熱交換、便于維護的功能。X40 由以下先進的組件組成：機柜、背板、電源和風扇安裝有6個風扇的風扇托架Crossbeam X40網(wǎng)絡處理模塊（NPM）NPM 支持高速流分類并集成了Crossbeam 正在申請專利的負載平衡算法以

41、實現(xiàn)平均的流量分配。流定義可以由用戶進行全面配置。 一臺 X40 中最多可以配置2個 NPM。它們既可以互相獨立，也可以成對配置以實現(xiàn)主動/主動或主動/備用冗余。提供有2個版本的 NPMNPM 8200 有8個千兆以太網(wǎng)（SX、LX 或銅線）接口NPM 8210 有16個快速以太網(wǎng)（10/100 Mbps）接口應用處理模塊（APM）APM 使用最先進的安全引擎來處理來自 NPM 的信息流。每個 APM 運行一個或多個安全引擎。APM可以分組形成負載平衡組以實現(xiàn)高可用性和更高的處理性能。您可以創(chuàng)建多個 APM組，從而創(chuàng)建一種完全包含在單一 X40 中的深層防護安全模式。APM 選項APM 840

42、0 標準配置帶有一個 Xeon處理器和 512 MB 的內(nèi)存。用戶也可以訂購額外的內(nèi)存（最高可達 4GB）和處理器（最多2個）。用戶可以為每個 APM 訂購一個可選的硬盤或 VPN 加速引擎。我們建議為 IDS 和防病毒等磁盤密集型安全引擎訂購硬盤，VPN 加速引擎一般用于加速 VPN 應用的 3DES 流量?？刂铺幚砟K（CPM）CPM 通過連續(xù)監(jiān)控所有模塊來管理系統(tǒng)的主要征兆，及時發(fā)現(xiàn)故障并執(zhí)行適當?shù)那袚Q操作。CPM 還可以為用戶提供專用的管理接口來連接到管理工作站或日志服務器。兩個 CPM 可以作為冗余的主動/備用對運行，使用 RAID-1 鏡像硬盤。X系列操作系統(tǒng)（XOS）XOS 是一

43、種安全的操作系統(tǒng)，結(jié)合了嵌入式實時操作系統(tǒng)的強大功能、高速度和 Linux 操作系統(tǒng)的應用靈活性及安全性。NPM 運行來自 VxWorks 的一種實時操作系統(tǒng)。這是大多數(shù)高端聯(lián)網(wǎng)產(chǎn)品的首選操作系統(tǒng)。APM 和 CPM 運行一種經(jīng)過強化的 Linux 核心和專門優(yōu)化用于 X40 的操作系統(tǒng)。這種操作系統(tǒng)叫作 Crossbeam Linux，可以兼容為 Linux 編寫的大多數(shù)安全應用。5.4 Check Point SmartCenter Power介紹SmartCenter Power統(tǒng)一安全管理的最明智的選擇您遇到的挑戰(zhàn)過去，在您的邊界上安裝防火墻并且為您的臺式機安裝防病毒軟件被認為是最先進

44、的安全防范措施。但現(xiàn)在，情況已經(jīng)發(fā)生變化。隨著互聯(lián)網(wǎng)蠕蟲的出現(xiàn)和復雜的攻擊手段不斷增多，如今的網(wǎng)絡安全情況遠比過去復雜得多。這樣的新環(huán)境，以及新的安全規(guī)定和為遠程用戶以及商業(yè)合作伙伴提供遠程訪問的需要，都要求一個更全面徹底的安全實施。多層次的保護將從帶防火墻的外網(wǎng)開始并逐漸深入到網(wǎng)絡內(nèi)部，從而保護敏感的部門、服務器、應用程序，甚至用戶的個人電腦和筆記本。但不幸的是，這樣的多層安全防范又導致了管理上的復雜。對于資源有限的IT部門而言，在多個站點和多個平臺上確保其安全防范措施能保持更新就成了一項艱巨的任務。如果沒有有效的管理，即便是最復雜的安全部署，其所能提供的安全保障也只將受限于自身最弱的環(huán)節(jié)。

45、安全管理解決方案必須讓企業(yè)能跟蹤自己安全部署的效率，為安全法律調(diào)查提供詳細的信息，支持在整個企業(yè)執(zhí)行一致的安全策略和主動式升級。我們的解決方案Check Point 公司的SmartCenter TM是基于目前業(yè)界最一致、最強大的管理架構(gòu)，安全管理架構(gòu)（SMART）的基礎之上。它支持企業(yè)集中定義邊界、內(nèi)部和Web的安全策略；關聯(lián)和優(yōu)化安全事件；實施高級的監(jiān)視和報告功能這一切都通過一個控制臺來實現(xiàn)。在所有網(wǎng)關分配安全策略升級變得很簡單，從而確保一致的策略實施并提高運營效率。這樣，企業(yè)能保護對業(yè)務關鍵的資產(chǎn)并實現(xiàn)它們在安全方面投資的最大化。綜合的安全管理Check Point公司通過SmartCe

46、nter和Smartcenter power提供各種層次的管理功能，從而提供綜合、可節(jié)約成本的解決方案，以支持通過單個管理控制臺來實現(xiàn)最高級的控制和安全。SmartCenter是Check Point公司旗艦級企業(yè)管理解決方案。它具有以下組件：SmartDashboard是一種能支持管理員集中定義安全和VPN策略的界面。SmartView Tracker可以對所有日志記錄的連接和管理員活動提供實時的可視化跟蹤。除了提供SmartCenter的所有功能，Smartcenter power TM還可以為最復雜的環(huán)境提供以下增加的管理功能：SmartPortal為SmartCenter增添了基于瀏覽

47、器的訪問功能。SmartMap TM支持對安全策略的可視化管理。SmartView Monitor TM支持對網(wǎng)絡、VPN和用戶進行實時監(jiān)視。SmartUpdate TM集中對軟件和證書的分配和存儲。SmartLSM TM支持大規(guī)模的管理。SmartDirectory提供對基于LDAP的目錄的集成。Management High Availability（管理高可用性）為所有管理操作提供容錯功能。除此以外，Eventia Reporter TM能提供綜合、易于理解的圖形化報告，而Eventia Analyzer能提供對來自Check Point網(wǎng)關以及多個安全和網(wǎng)絡設備的日志數(shù)據(jù)的實時事件關聯(lián)

48、。Eventia Reporter和Eventia Analyzer是SmartCenter的附加軟件?；诓呗缘腣PN/防火墻管理作為SmartCenter的一部分，SmartDashboard雖然復雜，但在使用上仍然很方便。管理員可以集中定義一個安全策略的各個方面：VPN、網(wǎng)絡地址轉(zhuǎn)換(NAT)、服務質(zhì)量（QoS）、Web訪問以及臺式機和終端的安全。被定義為安全策略一部分的“對象”，比如網(wǎng)絡、主機、用戶、服務、資源和活動，都可以被圖形化展示并能在SmartDashboard中直接進行處理。比如，對象可以被包含到SmartGroup中，或者網(wǎng)絡對象可以被輕松克隆以簡化對策略的定義。因為SMA

49、RT架構(gòu)的組件緊密集成，相同的對象可以在執(zhí)行點和應用程序間被共享，節(jié)省管理時間并確保整個網(wǎng)絡策略配置的一致性。除了集成的儀表盤工具，SmartCenter解決方案還提供了很多種策略管理工具來改進策略的創(chuàng)建。預定義的全局策略支持利用各種服務來在執(zhí)行點之間實現(xiàn)合適連接。SmartCenter可以管理策略的多種版本，允許管理員采用策略的老版本。通過SmartDashboard實現(xiàn)策略集中管理和可視化。綜合的邊界、內(nèi)部和Web安全SmartCenter為Check Point VPN-1 邊界安全網(wǎng)關、InterSpect TM內(nèi)部安全網(wǎng)關以及Connectra TM Web安全網(wǎng)關提供集中管理。通過

50、SmartDashboard，管理員可以對InterSpect和Connectra的網(wǎng)關采用與VPN-1網(wǎng)關相同的管理方法來定義和執(zhí)行策略、跟蹤日志，監(jiān)視VPN和防火墻活動以及集中分布安全和軟件的升級。通過SmartDashboard和SmartDefense服務，管理員只需一個簡單操作就可以同時為多個設備進行實時的安全升級部署，從而降低管理負擔并避免出錯。通過這些唾手可得的功能，管理員可以更清楚、直觀的了解整個網(wǎng)絡的安全狀況。集成的端到端的安全保護Integrity SecureClient TM提供全面訪問保護（Total Access Protection），它可以通過個人防火墻確保連接

51、到公司網(wǎng)絡的所有臺式機和筆記本電腦的安全。個人防火墻策略可以根據(jù)從客戶端系統(tǒng)發(fā)送或者接收的網(wǎng)絡傳輸?shù)脑?、目標和類型在SmartDashboard中進行定義。用戶或者用戶群可以自己定制規(guī)則，支持企業(yè)對遠程用戶系統(tǒng)進行充分控制。簡單的VPN部署SmartDashboard支持管理員通過一個簡單的操作來定義VPN團體，并為整個VPN拓撲（包括內(nèi)網(wǎng)、外網(wǎng)和遠程訪問部署）設定安全參數(shù)。安全管理員只需要將所有VPN-1網(wǎng)關組成一個團體，VPN就能在所有網(wǎng)關間或者遠程用戶和網(wǎng)關間自動啟動。當新站點或者用戶被加入團體時，它們能自動繼承相應的屬性并能立刻與其余的VPN團體成員建立安全的會話。安全管理員可以不用再

52、做像設計和定義加密規(guī)則之類的重復性工作。SmartCenter支持各種網(wǎng)絡拓撲結(jié)構(gòu)，包括全網(wǎng)狀拓撲、星型拓撲、集中星型拓撲和混合拓撲。VPN對象和團體能被輕松集成到安全規(guī)則庫中。實時排錯SmartView Tracker可以對所有有日志記錄的連接和管理員活動提供實時的可視化跟蹤。管理員可以過濾或者搜尋感興趣的事件，如果出現(xiàn)攻擊事件或者發(fā)現(xiàn)可疑活動，他們可以立即禁止或者終止與某個IP地址的連接。這些特點大大減少了排除配置錯誤所需要的時間。SMARTCENTER POWER為復雜的環(huán)境提供高級的安全管理SmartCenter為企業(yè)提供了能集中定義和監(jiān)視其安全策略的功能。Smartcenter po

53、wer和諸如Eventia Reporter以及Eventia Analyzer等管理附加模塊使企業(yè)能更好地理解和控制其安全環(huán)境，并為企業(yè)提供了許多高級的集成功能。通過Web訪問SmartCenter通過SmartPortal，安全小組可以讓外部團體，如技術支持或者審核員訪問基于瀏覽器的SmartCenter，但同時又繼續(xù)保持對策略執(zhí)行的集中控制。SmartPortal用戶可以查看安全策略和Check Point產(chǎn)品的狀態(tài)，以及管理員的審核跟蹤（audit trail）。高級用戶可以獲得管理員管理權(quán)限。這個擴展功能促進了在減少攻擊或者排除網(wǎng)絡錯誤和安全問題時的團隊合作。SmartPortal允

54、許安全管理員根據(jù)自己的判斷將對安全策略的訪問擴展到其它小組，從而在企業(yè)內(nèi)部提高了對安全的可視化。安全可視化大多數(shù)企業(yè)都有著復雜的拓撲結(jié)構(gòu)，包括網(wǎng)關、主機、服務器以及由許多臺不同機器組成的網(wǎng)絡，同時還執(zhí)行著許多不同的規(guī)則和規(guī)則庫。SmartMap對安全策略進行圖形化顯示，從而使對該策略的理解和排錯更輕松。它還支持安全管理員在部署前校驗其安全策略的一致性。Web管理門戶可以讓企業(yè)多個用戶查看安全信息顯示。實時監(jiān)視SmartView Monitor對安全、網(wǎng)絡、VPN通道和用戶活動進行實時監(jiān)視。這個解決方案為管理員提供統(tǒng)計數(shù)據(jù)的圖形化顯示，比如帶寬、數(shù)據(jù)往返時間以及丟包值和VPN通道狀態(tài)。在Smar

55、tView Monitor所提供信息的幫助下，管理員可以將它們的網(wǎng)絡性能實現(xiàn)最大化并控制住成本。軟件和許可證的自動分配SmartUpdate向Check Point和OPSEC認證過的產(chǎn)品自動分配軟件應用程序和升級并且管理產(chǎn)品許可證。它采用集中的方法來確保整個網(wǎng)絡的安全總是保持最新更新。除此以外，它減少了其分支機構(gòu)對IT員工的需要。大規(guī)模的VPN和安全管理SmartLSM為大規(guī)模VPN/安全安裝引入了一種新的管理范例。利用SmartLSM，管理員可以規(guī)定一個單一安全策略稱為配置文檔（Profile），并將其應用到成百上千的網(wǎng)關中。除此之外，策略安裝和升級的自動化過程可以支持快速部署，并使管理需

56、求最小化。這減少了為成百上千個網(wǎng)關部署和管理安全所需要的成本和時間?；贚DAP的用戶管理簡化了安全管理過程，特別是大規(guī)模部署時的安全管理。它支持Check Point執(zhí)行點從OPSEC認證過的LDAP目錄服務器為網(wǎng)絡用戶獲取身份和安全信息。管理基礎架構(gòu)冗余Management High Availability（管理高可用性）為Check Point執(zhí)行點提供不間斷的連接。多臺管理服務器可以互聯(lián)，并自動同步客戶和管理員數(shù)據(jù)。這可以消除部署專門的、冗余的硬件和軟件的需要。5.5 Check Point VPN-1 SecureClient介紹VPN-1 SecureClient安全的遠程訪問您

57、面臨的挑戰(zhàn)當雇員越來越多地以移動方式參與工作，而企業(yè)也持續(xù)不斷地采用遠程訪問 VPN 時，安全和網(wǎng)絡管理員將面臨嚴重的安全挑戰(zhàn)。這些挑戰(zhàn)包括需為訪問企業(yè)資源設置恰當?shù)募墑e、保護遠程桌面和其它客戶端系統(tǒng)不受威脅、以及為各種遠程訪問端點的安全和策略升級進行有效管理。我們的解決方案Check Point VPN 網(wǎng)關將 VPN 擴展到遠程用戶，使他們能安全地相互交流，安全地訪問企業(yè)網(wǎng)絡。所有數(shù)據(jù)從遠程個人電腦或移動設備中傳出時，均經(jīng) VPN-1 SecuRemote 進行過加密，因此連接十分安全。 VPN 客戶端透明地對關鍵數(shù)據(jù)進行了加密和認證，確保其不被竊聽或惡意篡改。VPN-1 SecureCl

58、ientTM是一種增強型應用。它不僅具有 VPN-1 SecuRemote 的功能，還為客戶端安全和軟件管理提供了一些附加特征。VPN-1 SecureClient 允許安全管理員為遠程用戶設置桌面安全策略，從而將安全延伸到桌面。這一功能非常關鍵，它使非法訪問者無法通過先獲取遠程用戶電腦訪問權(quán)的方法入侵企業(yè)網(wǎng)絡。產(chǎn)品描述VPN-1 SecureClientTM將 VPN 擴展到遠程用戶，使他們能安全地訪問網(wǎng)絡和相互交流，也使管理員能設置桌面策略，提供更多安全措施。VPN-1 SECUREMOTE和VPN-1 SECURECLIENTCheck Point VPN-1 SecuRemote 和

59、VPN-1 SecureClient 具有以下特性，這些特性將有助于您管理資源，并保持遠程系統(tǒng)的完整性。靈活的連接選項VPN-1 SecuRemote 和 VPN-1 SecureClient 支持撥號、電纜/調(diào)制解調(diào)器或數(shù)字用戶線路（DSL）等連接技術的動態(tài)和固定IP尋址。對于需通過網(wǎng)絡服務提供商（ISP）、無線訪問點或酒店因特網(wǎng)接入訪問公司網(wǎng)絡的遠程上班族和移動工作者，這種靈活性使VPN客戶端成為理想的解決方案。易于布署VPN-1 SecureClient 和 VPN-1 SecuRemote 與 Check Point 的 VPN-1網(wǎng)關方案緊密集成，這使將安全遠程訪問融合進總體安全策略

60、變得輕而易舉。為便于布署遠程訪問VPN，Check Point VPN-1 提供了一種One-Click的特性。通過將所有參與其中的 VPN-1 SecureClient 和 VPN-1 SecuRemote 用戶置入一個“VPN 團體”，企業(yè)即可為整組遠程用戶定義安全參數(shù)，這樣即可輕松地產(chǎn)生遠程訪問VPN。當新成員加入團體時，他們將自動繼承適用于他們的屬性，并可立即與企業(yè)網(wǎng)絡建立安全的遠程訪問連接。靈活的身份認證除 IPSec 標準本身支持的預共享密鑰和 X.509 數(shù)字證書外，Check Point 的 VPN-1 客戶端支持多種認證機制，如 SecurID 令牌、用戶名和口令、RADIU